GDPR Jak pokračuje příprava na vysokých školách. Miroslav Bartošek Masarykova univerzita Ústav výpočetní techniky

Transkript

1 GDPR Jak pokračuje příprava na vysokých školách Miroslav Bartošek Masarykova univerzita Ústav výpočetní techniky

2 O čem to bude 1. Projekty na GDPR: od FR Cesnet k CRP MŠMT 2. Schéma ochrany OÚ na VŠ 3. Dosavadní postupy a výstupy 4. Pár osobních postřehů namísto závěru Cesnet GDPR: Jak pokračuje příprava na VVŠ 2

3 1.1 Pilotní GDPR projekt FR CESNET Zpracování a pilotní ověření metodiky implementace GDPR v IT prostředí VVŠ (12 měsíců, od 2017/05) MU, ZČU, UPa, VŠB-TUO, UK, AV (Středisko společných činností) Cíl: Zmapovat problém a pomoci účastníkům projektu ale i dalším členům CESNETu s nastartováním implementací GDPR v oblasti IT Zmapování problematiky Praktické užitečné výstupy Právní (analýza) Technicko-metodické (kategorie, metodika DPIA) Předávání zkušenosti (semináře CESNET) Základ pro navazující rozsáhlejší projekt(y) Cesnet GDPR: Jak pokračuje příprava na VVŠ 3

4 1.2 Centralizovaný rozvojový projekt MŠMT 2018 Komplexní řešení ochrany OÚ v prostředí VŠ (12 měsíců, od 2018/01) Všech 26 VVŠ v ČR, koordinátorem MU (Miroslav Bartošek) Cíle 1. Zajistit, aby k byli všichni účastníci projektu schopni prokázat shodu s GDPR v klíčových oblastech 2. Analyzovat a implementovat opatření k ochraně OÚ pro všechny zásadní systémy a zpracování OÚ v prostředí VVŠ (vazba na 2 další CRP projekty) 3. Spojit síly a kapacity ke společnému postupu při návrhu a nasazení první verze komplexního systému ochrany OÚ 4. Vytvořit základy pro dlouhodobou spolupráci VVŠ v dané oblasti, včetně návrhu společných řešení a mechanismu aktualizace a vylepšování Cesnet GDPR: Jak pokračuje příprava na VVŠ 4

5 1.2.1 Komplexní systém ochrany OÚ na VŠ 1. Interní legislativa - univerzitní směrnice 2. Personální zajištění - pověřenec, právníci, garanti 3. Metodiky - co a jak v různých oblastech 4. Registr činností zprac OÚ - přehled přes celou univerzitu 5. Posouzení dopadů - analýza rizik 6. Realizace opatření - vylepšení ochrany 7. Dokumentace - vše mít podchyceno 8. Veřejná informace - informace pro SÚ/veřejnost 9. Vzdělávání, školení - proškolení všech zaměstnanců Cesnet GDPR: Jak pokračuje příprava na VVŠ 5

6 1.2.2 Pracovní skupiny [valné hromady 1.12., UPa] Vedení projektu (MU, Bartošek) 1. Právo (MU, Šmíd) 2. Implementace (MU, Růžička) o Interní legislativa a personální zajištění (UPOL, Hladký) o Metodiky (UPCE, Klápšťová) o Specifika uměleckých škol (AMU, Chvála) o Registr a dokumentace (MU, Javorník) o Služby osobám se specifickými potřebami (MU, Peňáz) o Vzdělávání a informovanost (ZČU, Bořík) 3. Inf-systémy (ČVUT, Holý) 4. Výzkumná data (MU, Holub) Cesnet GDPR: Jak pokračuje příprava na VVŠ 6

7 2. SCHÉMA OCHRANY OÚ NA VŠ Cesnet GDPR: Jak pokračuje příprava na VVŠ 7

8 Cesnet GDPR: Jak pokračuje příprava na VVŠ 8

9 3. DOSAVADNÍ POSTUPY A VÝSTUPY Cesnet GDPR: Jak pokračuje příprava na VVŠ 9

10 3.1 Mapování a popis činností zpracování OÚ 1 Cesnet GDPR: Jak pokračuje příprava na VVŠ 10

11 3.1 Mapování a popis činností zpracování OÚ Etapy implementace GDPR v organizaci 1. Inventura Zmapování všech činnosti zpracování OÚ v organizaci Prioritizace klíčové činnosti zpracování 2. Analýza Základní popis a posouzení každé činnosti zpracování Návrhy opatření 3. Opatření a dokumentace Realizace opatření Zdokumentování činnosti zpracování Cesnet GDPR: Jak pokračuje příprava na VVŠ 11

12 3.1 Mapování a popis činností zpracování OÚ 1. Zmapování (soupis) všech činností zpracování OÚ Inf-systémy, manuální, kamerové a přístupové systémy, logy, weby, projekty, data Centrální systémy školy x lokální systémy součástí Role: (a) správce+zpracovatel, (b) zpracovatel, (c) cizí zpracovatel Určení (granularita) činností zpracování (??) Účel x Právní důvod x Kategorie SÚ x Garant Agregace činností do zvládnutelného počtu 2. Prioritizace identifikace klíčových činností Prioritní: vyšší riziko pro SÚ přednostní řešení (do 25.5.) Citlivé OÚ Rizikové OÚ (ekonomické, děti, ) Velký rozsah SÚ a/nebo OÚ Nedostatečně zabezpečené nebo pochybné činnosti Neprioritní Cesnet GDPR: Jak pokračuje příprava na VVŠ 12

13 3.1 Co je k dispozici Metodika pro inventuru činností zpracování OÚ ( ) Formulář Minimální záznam pro popis ČZOU + příklad Číselníky: Kategorie OÚ, Kategorie SÚ Přehled ČZOU v prostředí VŠ Poznámky: Různé postupy a zkušenosti v rámci VVŠ (MU téměř 3000 ČZOÚ) Stručný návod MŠMT 11 společných ČZOU pro ZŠ + specifické 2 další CRP projekty zabývající se GDPR: Brandejs-MU Studijní informační systémy na VŠ Holý-ČVUT Personální a ekonomické systémy na VŠ (ERP) e-infrastruktura inspirace přístupem CESNET Cesnet GDPR: Jak pokračuje příprava na VVŠ 13

14 3.2 Analýzy a implementace opatření 2 1 Cesnet GDPR: Jak pokračuje příprava na VVŠ 14

15 3.2 Analýzy a implementace opatření Etapy implementace GDPR v organizaci 1. Inventura Zmapování všech činnosti zpracování OÚ v organizaci Prioritizace klíčové činnosti zpracování 2. Analýza Základní popis a posouzení každé činnosti zpracování Návrhy opatření 3. Opatření a dokumentace Realizace opatření Zdokumentování činnosti zpracování Cesnet GDPR: Jak pokračuje příprava na VVŠ 15

16 3.2 Analýzy a implementace opatření 1. Základní popis každé činnosti zpracování Minimální záznam Ukázka Knihovní služby 2. Základní posouzení analýza rizik OÚ: minimalizace, doba, aktualizace, kontrola, likvidace Předávání OÚ: v rámci školy, ČR/EU, mimo EU (3.země) Dokumentace: souhlasy SÚ, smlouvy-zpracovatelé, mlčenlivost Zabezpečení OÚ: únik, neoprávněný přístup, ztráta DPIA jen u vysoce rizikových činností 3. Návrhy opatření + implementace Odstranění / minimalizace rizik Zajištění práv SÚ Metodická, organizační, technická (pseudonymizace, šifrování) Cesnet GDPR: Jak pokračuje příprava na VVŠ 16

17 3.2 Co je k dispozici Formuláře pro minimální popis ČZOU (viz 3.1) Vodítko pro prvotní posouzení rizikovosti ČZOU za účelem rozhodnutí o provedení DPIA Metodika DPIA Právní analýza Office 365 a GDPR Poznámky: Guidelines for SMEs on the security of personal data processing (ENISA metodika pro analýzu rizik) příprava zkráceného překladu WP29 (248 rev.01) Pokyny pro posouzení vlivu na ochranu údajů a stanovení,zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko pro účely nařízení 2016/679 ÚOOÚ: K povinnosti provádět posouzení vlivu na ochranu osobních údajů (připomínkové řízení do ) Cesnet GDPR: Jak pokračuje příprava na VVŠ 17

18 Cesnet GDPR: Jak pokračuje příprava na VVŠ 18

19 3.3 Registr ČZOÚ Cesnet GDPR: Jak pokračuje příprava na VVŠ 19

20 3.3 Registr ČZOÚ Povinnost vést záznamy o činnostech zpracování osobních údajů plynoucí přímo z GDPR (čl. 30) ruší se centrální registr ÚOOÚ Primární cíl: základní sběr informací o jednotlivých činnostech zpracování v organizaci Dlouhodobý cíl: komplexní přehled o všech činnostech na VŠ Různé formy implementace na VŠ (sofistikovaný) Informační systém v rámci intranetu VŠ (jednoduchá) Excelovská tabulka Cesnet GDPR: Jak pokračuje příprava na VVŠ 20

21 Sběr informací - konsolidace - kategorizace Podpora rozhodování - pověřenec - management instituce - garanti - vedoucí pracovišť Komunikace - garant - spoluautoři - vedoucí pracovišť - pověřenec - tým pověřence REGISTR Informovanost - SÚ - management - administrátoři systémů Dokumentace - komplexní přehled - aktualizace Prokazování shody - ÚOOÚ - spolupracující instituce Cesnet GDPR: Jak pokračuje příprava na VVŠ 21

22 3.3 Co je k dispozici Prezentace představ o Registru (prezentace valných hromad CRP-GDPR) Funkční a datový model Registru Implementace Registr-MU v systému Inet MU Návrh excelovské verze Registru (v přípravě) MŠMT Stručná návod k GDPR Záznamy o ČZOU (ministerská verze excelovského registru pro MŠ, ZŠ a SŠ) Poznámky: Většina VŠ půjde zřejmě v první fázi cestou excelovské tabulky Vazba Registru na související dokumentaci (smlouvy, souhlasy, ) (pravidelné) Aktualizace záznamů Cesnet GDPR: Jak pokračuje příprava na VVŠ 22

23 3.4 Dokumentace Cesnet GDPR: Jak pokračuje příprava na VVŠ 23

24 3.4 Dokumentace Kontrola/revize smluv se zpracovateli OÚ Externí zpracovatel OÚ pro VŠ (koleje, menzy, ISIC/ITIC, e-shop, cloudová úložiště, projekty, ) VŠ jako zpracovatel pro cizího správce (systémy pro MŠMT, VaV projekty, smluvní výzkum, ) Kontrola/revize souhlasů SÚ Souhlas subjektu údajů udělený podle zákona č. 101/2000 Sb. se považuje za souhlas podle nařízení GDPR, ledaže způsob jeho udělení nebyl v souladu s tímto nařízením (návrh nového Zákona o ochraně OÚ) Souhlas až jako poslední varianta při hledání právního titulu svobodný, konkrétní, vědomý, informovaný, jednoznačný a doložitelný účel, druhy údajů, doba uchovávání, předávání, poučení Další závazky mlčenlivosti, Cesnet GDPR: Jak pokračuje příprava na VVŠ 24

25 3.4 Co je k dispozici Smlouvy se zpracovateli Úprava smluvních vztahů mezi MU a zpracovateli OÚ (metodický list PrávO RMU, účinný od ) MŠMT Stručná návod k GDPR Kap 2. Kontrola smluv NK ČR Ochrana OÚ: Příručka pro knihovny Vzor smluvní doložky Souhlasy SÚ Souhlas se zpracováním osobních údajů (požadavky na něj kladené, povinnosti z něj vyplývající (CRP-GDPR/Vzdělávání/Výstupy/Prezentace) Souhlas se zpracováním osobních údajů dle GDPR (MU, prezentace) Doporučení k souhlasům (CRP-GDPR/Metodiky/Pracovní) Cesnet GDPR: Jak pokračuje příprava na VVŠ 25

26 3.5 Interní legislativa Cesnet GDPR: Jak pokračuje příprava na VVŠ 26

27 3.5 Interní legislativa Směrnice Nastavení vnitřních procesů organizace pro zacházení s OÚ Obecné principy, postupy, zodpovědnosti Metodiky Jedna specializovaná směrnice pro OÚ (přístup MU) OÚ do vícero interních předpisů Podrobnější (a častěji aktualizovaná) doporučení/vodítka pro různé typy ČZOU, procesy, Problém dosažení shody napříč VŠ: Generické návrhy/vzory lokální přizpůsobení Cesnet GDPR: Jak pokračuje příprava na VVŠ 27

28 3.5 Co je k dispozici Interní legislativa Směrnice MU Ochrana a zpracování OÚ (účinná od ) MŠMT Stručná návod k GDPR Kap 3. Nastavit vnitřní předpisy Metodiky Řada metodik a vodítek v různém stupni rozpracovanosti Doporučení pro vypořádání práv a požadavků SÚ Doporučení k souhlasům Analýza rizik dle ENISA Klasifikace datových úložišť a další v rámci různých PS projektu Cesnet GDPR: Jak pokračuje příprava na VVŠ 28

29 3.5 Směrnice MU k OÚ Celkem 12 stran, 8 částí 1. Základní ustanovení a výklad vybraných pojmů 2. Odpovědnosti osob zajišťujících ochranu OÚ 3. Pověřenec pro ochranu OÚ 4. Registr ČZOÚ 5. Zásady zpracování OÚ 6. Subjekt údajů informovanost práva 7. Zveřejňování a zabezpečování OÚ a jejich poskytování 3.stranám 8. Závěrečná ustanovení Cesnet GDPR: Jak pokračuje příprava na VVŠ 29

30 Cesnet GDPR: Jak pokračuje příprava na VVŠ 30

31 3.6 Informovanost dovnitř VŠ Cesnet GDPR: Jak pokračuje příprava na VVŠ 31

32 3.6 Informovanost dovnitř VŠ Interní webová stránka vše kolem OÚ pro pracovníky organizace Směrnice Registr Metodiky a vodítka Kontakty (DPO aj.) Vzdělávací a inf materiály Externí dokumenty GDPR Desatero Vše podstatné, co by měl znát řadový zaměstnanec 1. Principy, základní info 2. Pověřenec 3. Ukládání dokumentů 4. El-komunikace 5. Foto a video 6. Zveřejnění OÚ na webu 7. Mobilní zařízení 8. Nová zpracování OÚ 9. Zákonnost zpracování 10.Porušení ochrany OÚ Cesnet GDPR: Jak pokračuje příprava na VVŠ 32

33 Cesnet GDPR: Jak pokračuje příprava na VVŠ 33

34 3.6 Co je k dispozici GDPR Desatero (některé) Metodiky, vodítka CRP-GDPR (některé) Vzdělávací a informační materiály Externí materiály ÚOOÚ WP29 vodítka Cesnet GDPR: Jak pokračuje příprava na VVŠ 34

35 3.7 Informovanost pro veřejnost Cesnet GDPR: Jak pokračuje příprava na VVŠ 35

36 3.7 Informovanost pro veřejnost Povinnost správce informovat SÚ Webová informace o ochraně OÚ v organizaci pro veřejnost Hlavní účely a kategorie ČZOÚ Práva SÚ Kontakty pověřenec Zásady transparentnosti Jak na to? (velké počty ČZOU na VŠ) Informační vrstvy top-down hierarchie informací Kategorizace Cesnet GDPR: Jak pokračuje příprava na VVŠ 36

37 3.7 Co je k dispozici CRP-GDPR zatím neřešil WP Vodítka k transparentnosti MŠMT Stručná návod k GDPR Kap 5. Informace o zpracování OÚ Cesnet GDPR: Jak pokračuje příprava na VVŠ 37

38 3.8 Pověřenec pro ochranu OÚ Cesnet GDPR: Jak pokračuje příprava na VVŠ 38

39 3.8 Pověřenec pro ochranu OÚ Zřizují všechny VVŠ Některé menší VŠ zvažovaly sdíleného DPO Aktuálně cca polovina VVŠ již má jmenovaného DPO Pověřenec Různá míra aktivního zapojení do implementace GDPR Hlavní kontaktní bod pro SÚ Arbitr a podpora dovnitř VŠ Podpora pověřenci Personální (právníci, IT, administrativa) Technologická (evidence dotazů/stížností, evidence incidentů ) Klub VŠ pověřenců (?) Cesnet GDPR: Jak pokračuje příprava na VVŠ 39

40 3.8 Co je k dispozici Vytvořené a obsazené pozice na VŠ Doporučení pro vypořádání práv a požadavků SÚ (CRP-GDPR/Metodiky/Pracovní) WP Pokyny týkající se pověřence pro ochranu osobních údajů vodítka WP29 k postavení a úkolům pověřence ÚOOÚ Vyjádření k pověřencům Cesnet GDPR: Jak pokračuje příprava na VVŠ 40

41 3.9 Vzdělávání Cesnet GDPR: Jak pokračuje příprava na VVŠ 41

42 3.9 Vzdělávání Úvodní seznámení zaměstnanců a studentů (před 25.5.) a poté pravidelná doškolování Úvodní seznámení spíše obecnější povahy (dokud nejsou k dispozici konkrétní vodítka/představy VŚ) V dalších etapách konkrétněji zacílená školení Různé typy vzdělávacích/inform materiálů pro různé cílové skupiny Elektronické materiály Videomateriály Tištěné materiály (s e-předlohou) Online kurzy Moodle Cesnet GDPR: Jak pokračuje příprava na VVŠ 42

43 3.9 Co je k dispozici První informační materiály, prezentace a videa (CRP-GDPR/Vzdělávání/Výstupy) Ukázka? Externí materiály Brožury EU k GDPR v CZ detail.cfm?item_id=52404 Příručky ÚOOÚ např. Jsou to vaše údaje mějte je pod kontrolou Cesnet GDPR: Jak pokračuje příprava na VVŠ 43

44 CRP-GDPR: Přehledová zpráva Podrobnější info Status-report projektu CRP-GDPR k Cesnet GDPR: Jak pokračuje příprava na VVŠ 44

45 4. PÁR OSOBNÍCH POSTŘEHŮ NAMÍSTO ZÁVĚRU Cesnet GDPR: Jak pokračuje příprava na VVŠ 45

46 4. Osobní postřehy k implementaci GDPR 1. Bezbřehost problematiky x Není moc o co se opřít Umocněno přehnaně alibistickým přístupem rozdílnými (protichůdnými) názory 2. Neexistuje žádné jedině správné řešení 3. Je velmi těžké uchovat si zdravý rozum a najít správný balanc preferovat jednoduchá řešení, zaměřit se na podstatné věci 4. Hledání shody je velmi zdlouhavá záležitost 5. Nikdo nebude k plně v souladu 6. Je to běh na dlouhou trať Cesnet GDPR: Jak pokračuje příprava na VVŠ 46

47 DISKUSE Kontakt: Miroslav Bartošek, Cesnet GDPR: Jak pokračuje příprava na VVŠ 47

48 Cesnet GDPR: Jak pokračuje příprava na VVŠ 48